Mikrotik fazer link de contingência entre duas lojas

abernardi
(usa Debian)

Enviado em 27/01/2017 - 12:07h

Tenho um cliente com Matriz e Loja02, com 02 RB2011 UAS-RM, com o seguinte cenário e necessidades:

Entre a Matriz e a LJ02 há um link direto de fibra.

Matriz:
Router NET:
WAN: (IP fixo) 189.7.193.37
LAN: 172.16.0.254
RB2011
WAN: 172.16.0.253 (conectado na porta 1)
LAN: 192.168.0.254/24 (conectado na porta 3) Fazer DHCP na rede 192.168.0.0/24
Lnk direto: (conectado na porta 2)

LJ02:
DSL VIVO:
WAN: Dinâmico
LAN: 172.16.1.254
RB2011
WAN: 172.16.1.253 (conectado na porta 1)
LAN: 192.168.1.254/24 (conectado na porta 3) Fazer DHCP na rede 192.168.1.0/24
Lnk direto: (conectado na porta 2)

Gostaria de:
1- Deixar na Matriz, saindo para web pela WAN dela e em contingência pela LJ02;
2- Deixar na LJ02, saindo para web pela WAN dela e em contingência pela Matriz;
3- Deixar os computadores da LJ02 acessando o servidor de ERP na matriz pelo link direto da fibra entre elas e, se possível, em caso de rompimento dessa fibra, que pudesse acessar pela WAN da LJ02 entrando no IP fixo da Matriz (189.7.193.37) ou VPN;
4- Deixar os computadores da Matriz acessando os computadores da LJ02 (Radmin, VNC... pelo link direto da fibra entre elas e, se possível, em caso de rompimento dessa fibra, que pudesse acessar pela WAN da LJ02 entrando por VPN;
Se no 3 e 4 for só pelo link direto tbém já resolve o problema...

Sei que é um pouco complexo de explicar mas espero ter me feito entender...

Se puderem me ajudar, agradeço muito.

removido
(usa Nenhuma)

Enviado em 27/01/2017 - 12:54h

mikrotik é muito inferior ao Squid.

Alguém vendeu o peixe estragado como fresco para você.

Para fazer VPN não precisa de mikrotik.

souzacarlos
(usa Outra)

Enviado em 27/01/2017 - 14:29h

Boa tarde.
Primeiro respondendo o colega acima ^^^
Solicito que faça no squid >>>
VPN - QOS - SERVER PPPOE - SERVER RADIUS - BGP - OSPF - FIREWALL - E mais uma infinidade de coisas, então não fale sobre o que não conhece, só se ponha a defender algo que conheça, o squid não tem por definição atender a sua demanda, ele não foi desenvolvido para isso.

Sobre seu problema.

Item 01 - Você precisar entender sobre rotas
Item 02 - Idem
Item 03 - Pesquisar sobre roteamento, existem outros meios também
Item 04 - Você + ou - respondeu, porém faltam coisas

Coisas gerais: Cara o Mikrotik te permite uma infinidade de coisas inclusive Squid ( NÃO RECOMENDO DEVIDO AO PROCESSAMENTO DA RB)
Vale lembrar que: Você está utilizando links de operadoras diferentes para acesso via internet, logo regras de NAT e FORWARD no teu firewall serão preciso.
Em relação ao teu link de fibra interligando as Lojas preciso de mais informações para entender como melhor podemos aproveitar essa ligação mais existem muitas possibilidades além das listadas por vc.

Obs: Sobre sua explicação as vezes passar nosso cenário para outros é meio complexo, como temos ele na nossa cabeça se torna fácil pra gente mas para outros as coisas são diferentes, sugiro uma melhor explanação do teu problema, segue contato abaixo caso queira conversar melhor sobre o assunto.
Abraço


Network Analyst
contact skype: carlossouzainfo

removido
(usa Nenhuma)

Enviado em 27/01/2017 - 14:55h

já apareceu o vendedor de peixe. KKKK

https://www.youtube.com/watch?v=TiNS7a3I43o

Squid não faz VPN não é função dele.

Mikrotik não tem as funções do squid por isso que é inferior.


OpenVPN + Squid + iptables

souzacarlos
(usa Outra)

Enviado em 27/01/2017 - 16:51h

É sério isso? Poderia até começar a explicar mas acho que vc já tem a sua ideia formada, Sobre proxy gateway o MK faz sim, caso vc queira podemos conversar a respeito, quem sabe não mudo seu ponto de vista.
Mas levando em consideração o comentado tenho plena convicção que o citado OPENVPN + SQUID + IPTSVLES atende a boas as dúvidas do colega com problema, Meia noite, vc poderia ajuda-lo postando algo sobre as tecnologias apresentadas, acredito que todos temos a ganhar com isso.
Abraço


Network Analyst
contact skype: carlossouzainfo

removido
(usa Nenhuma)

Enviado em 27/01/2017 - 18:04h

Na empresa quando foi trocado o Squid pelo Mikrotik a pessoa responsável pela instalação e manutenção do Mikrotik refez a VPN e o controle de banda (limitação de banda). Quando foi questionada sobre os relatórios mensal de acesso a internet falou que o Mikrotik não fazia e não tinha regras de ACL como no Squid somente podia bloquear ou limitar a velocidade de internet aos ips da rede.

Na questão da escalabilidade como ele funciona numa rede com mas de 800 computadores e equipamentos que usa a internet para cada loja (total são 12 lojas).

É dobrado um valor por hora para cada acesso ao Mikrotik mas um valor mensal que não é nada comparado como antes.

removido
(usa Nenhuma)

Enviado em 27/01/2017 - 18:26h

Já comprou o hardware (Mikrotik) agora tem que usar ele ate depreciar por completo. A escolha sobre implementação de algo tem que ser avaliada com muito cuidado antes.

Só não acho justo troca agora algo que você já pagou.

Sobre a documentação tem no VOL, no site da OPENVPN, do SQUID e no manual do iptables.

abernardi
(usa Debian)

Enviado em 27/01/2017 - 19:03h

Pessoal, conheço pouco sobre o assunto, mas pelo que vi nessas necessidades é possível resolver com o Mikrotik, sendo melhor ou não que outras soluções... tenho alguns outros casos assim que uma empresa com 2 links e faço balancemanto de carga e tal e funciona perfeito.
Vejo que meu maior problema está nas rotas estáticas para isso... mas nesse momento contratarei alguém para ajudar nessa solução e por hora agradeço pela disposição em ajudar.

souzacarlos
(usa Outra)

Enviado em 27/01/2017 - 22:46h

Tá vendo como estamos começando a os entender, te passaram a info errada, realmente o MK não tem relatórios assim como o squid, o relatório é disposto no SARG um serviço auxiliar.
Em relação as ACLs não só tem como é amplamente usada, quem te fala isso é alguém que utiliza diariamente.
Abraço

Network Analyst
contact skype: carlossouzainfo

souzacarlos
(usa Outra)

Enviado em 27/01/2017 - 22:47h

Precisando tenho uma empresa que presta esse tipo de suporte
abraço

Network Analyst
contact skype: carlossouzainfo

removido
(usa Nenhuma)

Enviado em 27/01/2017 - 23:10h

Só faltou a questão da escalabilidade do Mikrotik.
Só usamos o SARG por questão de perfumaria para o Squid podemos usar somente os logs dele.
Como seria essas regras ACLs no Mikrotik?
A pessoa que passou a informação tem Engenharia de computação.

souzacarlos
(usa Outra)

Enviado em 27/01/2017 - 23:41h

Explique melhor oq vc quer saber sobre escalabilidade no mikrotik, mas posso garantir total escalabilidade.
Sobre o SARG, sem sarg sem Log de forma bonitinha na tela pra informar.
Sobre ACLs: Você tem uam interface gráfica onde vc pode ir montando suas ACL ou via terminal.

Iptables x Mikrotik, Fui defensor do Iptables durante muito tempo e ainda utilizo muito, o grande problema é que, a Interface não é amigável, logo as empresas não optam por utilizar, o Mikrotik me da a possibilidade de criar regras de forma mais dinâmica e eu consigo mostrar isso para a equipe que estou treinando.

Em relação ao squid como falei, o Mikrotik tem a função de trabalhar como tal tbm, só que vc vai onerar o processamento para isso, tenho cenário onde tenho Mikrotik + squid trabalhando em paralelo, Assim como Mikrotik e Thundercache (software para cache voltado apra provedores de médio porte)

Ex ACL CISCO access-list 10 deny host 192.168.0.100 ( aqui ainda não aplicamos a nenhuma interface ou sentido )
Ex ACL MK ip firewall filter add src-address=192.168.0.100 action=drop chain=forward ( coloquei o básico só para comparar com a do CISCO ) Caso queira me passa um e-mail que te mando uns prints com a Interface gráfica utilizada

Como pode ver, assim como o Iptables temos no Mikrotik uma excelente ferramenta, a principal diferença é a Interface gráfica (WINBOX) para gerencia

Network Analyst
contact skype: carlossouzainfo